Company

Es ist in Ordnung, sich von Cisco ETA nicht beeindrucken zu lassen

Geschrieben von Oliver Tavakoli, CTO, Vectra Networks am 28.06.2017 21:53:37

Finden Sie mich auf:

Fotolia_64803439_XS.jpgCisco hat in einer Pressemitteilung vor kurzem den Begriff „Intent-based Networking“ eingeführt. Er steht für ein Netzwerk, das die Absichten der IT-Teams automatisiert erkennt. Die Meldung wirbt für die Idee „intuitiver“ Netzwerke. Ein Aspekt der „Intuition“ ist es dabei, dass Netzwerke zukünftig sicherer sein sollen, ohne den Spezialisten für Network Security Schwerstarbeit abzuverlangen. Als Teil dieser Strategie hebt Cisco insbesondere sein „ETA“-Modell hervor:

„Cisco Encrypted Traffic Analytics löst ein zentrales Sicherheitsproblem, das bislang als unlösbar galt", erläutert Torsten Harengel, Leiter Security bei Cisco Deutschland. „Es nutzt die Erkenntnisse von Cisco Talos, um bekannte Angriffsmuster in verschlüsseltem Datenverkehr zu erkennen. […] So gewährleisten wir Sicherheit und Datenschutz."

Ich bin jedes Mal fasziniert (und oft genug amüsiert), wenn jemand behauptet, dass ein unlösbares Problem nun doch gelöst sei. Schauen wir also einmal genauer hin, wie Cisco ETA aufgebaut ist: 

  1. Man nehme eine Reihe von Malware-Proben, die bereits nach Familien klassifiziert und entsprechend benannt worden sind,
  2. lasse jede davon fünf Minuten lang in einer Sandbox laufen,
  3. schneide den Traffic mit, den die Schadsoftware verursacht,
  4. isoliere innerhalb des Traffics die TLS-verschlüsselten Sessions,
  5. extrahiere nähere Informationen über diese Sessions aus ihren TLS-Handshakes (dabei sendet der Client zunächst sein „Client-Hello“ zum Server und erhält von dort ein „Server-Hello“ mit Zertifikat zurück),
  6. extrahiere dann Informationen über das Ansteigen und Abebben des Datenflusses innerhalb der Session (Paketgrößen, Verzögerungen im Pakettransfer, Zahl der Bytes in den Paketen usw.) und
  7. nehme schließlich die Merkmale aus [5] und [6] und erstelle daraus mittels automatischer Daten-Analyse ein Modell, das die jeweiligen Besonderheiten zu den anfangs erwähnten Schadprogramm-Familien in Beziehung setzt, um diese erkennen zu können.

Wir begrüßen die von Cisco unternommenen Schritte, das Verfahren der Metadaten-Extraktion nativ ins Netzwerk zu integrieren – und wir spenden Beifall dafür, dass das Unternehmen maschinelles Lernen zur Entdeckung von Bedrohungen einsetzt. Das ist ein Modell, das wir schon jahrelang in den Netzwerken unserer Kunden einsetzen, und wir kennen dessen Vorteile, wenn man dabei richtig vorgeht (oder auch falsch, denn wir haben natürlich ebenfalls unsere Fehler gemacht). Das Thema ist harter Tobak – da kommt es vielleicht nicht überraschend, dass die ersten Schritte von Cisco auf diesem Gebiet nicht übermäßig beeindruckend ausfallen.

Zweifellos stecken hinter der Auswahl von Malware-Merkmalen und den Techniken maschinellen Lernens, die Cisco für ETA einsetzt, ein paar neuartige Ansätze. Die Grundidee allerdings, Session-Metadaten zur Ableitung präziser Signaturen aus der Malware-Kommunikation zu verwenden, wirkt wie eine Rückblende: Sie trägt uns zurück in jene Zeit, als die ersten signaturgestützten Intrusion-Detection-Systeme (IDS) auf den Markt kamen. Das war etwa 1995. Angenommen, dass sich das Modell erfolgreich auf die aktuelle Malware-Generation anwenden lässt, wird es die Malware-Entwickler wohl wenig Zeit kosten, auf einfache Weise die verschlüsselte Kommunikation ihrer Produkte zu modifizieren und so dieser Form der Erkennung zu entrinnen. Welche Änderungen die Angreifer vornehmen würden, ist ziemlich offensichtlich:

  • Einbau von aktuellen Krypto-Standardmechanismen auch dann, wenn deren Leistung nicht wirklich benötigt wird,
  • Verwendung von Zertifikaten, die nicht schon auf den ersten Blick verdächtig erscheinen (Hinweis: Man kopiere ein Standard-Zertifikat von einer populären Website und nutze es als Vorlage fürs eigene Zertifikat) und
  • Anreicherung des Traffics der eigenen TLS-Verbindung mit periodisch eingestreuten Zufallsdaten und ebenfalls zufallsgesteuertes Variieren des Kommunikations-Timings sowie der Größe von Requests und Responses.

 Und schon beginnt das Katz-und-Maus-Spiel aufs Neue. Allerdings muss Cisco nun große Mengen an Schadsoftware-Proben sammeln, um ETA wieder und wieder neu zu trainieren – auf dass die Angreifer den Schutz dann nach kurzer Zeit wiederum brechen können.

Anders als bei den meisten anderen Anwendungen maschinellen Lernens geht es in der Cybersecurity auch darum, sein Können mit dem eines intelligenten Gegners zu messen, der sich immer wieder schnell an die Fähigkeiten des Verteidigers anpasst. Aus diesem Grund setzt unsere Anwendungen des automatisierten Lernens aus Netzwerk-Metadaten darauf, zuverlässig wiederkehrende Verhaltensmuster zu identifizieren, von denen die Angreifer im Gegenzug nur abrücken können, wenn sie ihre Methoden fundamental ändern.

Ein Beispiel ist der Fernzugriff von extern. Das Modell dazu verwendet Vectra seit etwa zwei Jahren. Es stützt sich auf grundlegende Vorgehensweisen, die unweigerlich zutage treten, wenn eine Person ein internes System von außerhalb des Netzwerks kontrolliert. Die Erkennung dieses Verhaltens funktioniert unabhängig davon, welches Werkzeug der Angreifer einsetzt und ob er seinen Traffic verschlüsselt oder nicht. Als die Hackergruppe Shadow Brokers im vergangenen Jahr das Remote-Access-Tool (RAT) nOpen offenlegte, erkannten die Vectra-Systeme Versuche, das Tool zu verwenden, sofort und ohne Anpassungen. Es ist einfach erheblich schwieriger, völlig neue Angriffsmethoden zu erfinden, als lediglich oberflächliche Kommunikationsmuster zu ändern.

ETA auszurollen wird außerdem weder einfach noch billig. ETA erfordert entweder ein Upgrade auf neue Switches oder das Implementieren von Flow-Sensoren. Für Cisco sind Switches eine Haupt-Einnahmequelle und ein Profit-Generator, sodass es nicht sonderlich verwundert, dass nun weitere Security-Funktionen an die Switches gebunden werden sollen. Upgrades allerdings kosten Zeit und bewirken Brüche in der eingesetzten Technik. Und in diesem Fall werden all die dafür aufgewendeten Mittel in eine Sicherheitsfunktionalität auf dem Niveau der 90er Jahre münden.

Wenn Sie nach einer Alternative suchen, die die Arbeitslast im Bereich Security Operations um den Faktor 29 reduziert und die zugleich nur den Bruchteil eines Switch-Upgrades kostet, kontaktieren Sie uns.

vectra demo anfordern cta

Vectra.ai ist Sicherheit, die mitdenkt.

Themen: network security, Malware, external remote access, Cisco eta